Anuncio
Las botnets de todo el mundo han desviado su atención de enviar correos electrónicos no deseados a piratear sistemáticamente las instalaciones de WordPress; Es un negocio lucrativo dado que WordPress impulsa el 40% de todos los blogs. Sobre todo teniendo en cuenta que incluso fuimos víctimas de esto, ya es hora de que publiquemos una publicación exhaustiva sobre cómo proteger exactamente su instalación de WordPress autohospedada.
Nota: este consejo solo se aplica a instalaciones de WordPress autohospedadas. Si usa WordPress.com, generalmente no necesita preocuparse por la seguridad, ya que se encargan de todo por usted.¿Cuál es la diferencia entre WordPress.com y WordPress.org? ¿Cuál es la diferencia entre ejecutar su blog en Wordpress.com y Wordpress.org?Con Wordpress ahora alimentando a 1 de cada 6 sitios web, deben estar haciendo algo bien. Tanto para desarrolladores experimentados como para principiantes, Wordpress tiene algo que ofrecerle. Pero justo cuando comienzas ... Lee mas
Instalar el autenticador de dos pasos de Google
Si ya tiene habilitada la autenticación de dos pasos para su cuenta de Gmail u otros servicios, puede usar la misma aplicación de autenticación con este complemento para WordPress
Afortunadamente, puede restringir la autenticación de dos pasos para que solo se use en cuentas de nivel superior, por lo que no necesita molestar a todos sus usuarios.
Bloqueo de inicio de sesión
Un viejo complemento, pero sigue funcionando según lo previsto; Bloqueo de inicio de sesión comprueba la IP de los intentos de inicio de sesión y bloquea un rango de IP durante una hora si falla 3 veces en 5 minutos. Simple, efectivo.
Tomar copias de seguridad regulares
Los hackers no solo cambiarán un archivo, sino que colocarán su propio panel de control oculto en algún lugar y otro puertas traseras ocultas, de modo que incluso si arreglas el truco original, vuelven a entrar y lo hacen todo de nuevo. Realice copias de seguridad diarias o semanales para que pueda restaurar fácilmente a un punto donde no haya rastros del pirata informático, y asegúrese de parchear lo que sea que hicieron para ingresar. Personalmente, acabo de invertir en $ 150 Compañero de respaldo licencia de desarrollador: es la solución de respaldo más fácil y completa que he encontrado hasta ahora.
Prevenir la indexación de carpetas
Verifique la raíz de su instalación de WordPress para el archivo .htaccess (observe el período al principio; es posible que deba mostrar archivos invisibles para ver esto) y asegúrese de que tenga la siguiente línea. Si no, agréguelo, pero primero haga una copia de seguridad ya que este archivo es bastante crucial.
Opciones Todos-Índices
Manténgase actualizado
No cometa el mismo error que nosotros: actualice siempre WordPress tan pronto como haya una actualización disponible. A veces, las actualizaciones contienen correcciones de errores menores y no correcciones de seguridad, pero adopta el hábito y no tendrás ningún problema. Si tiene más de una instalación de WordPress y no puede realizar un seguimiento de todas ellas, consulte ManageWp.com, un panel premium para todos tus blogs que incluye escaneo de seguridad.
No solo los archivos principales de WordPress, sino también los complementos: uno de los mayores hacks de WordPress del pasado implicó una vulnerabilidad en un script generador de miniaturas común llamado timthumb.php, y todavía hay temas por ahí que usan la versión anterior. Aunque los complementos se actualizaron rápidamente, mantener los temas actualizados es más difícil, por supuesto, WordPress no lo dirá si su tema es vulnerable, y para eso tendrá algún tipo de complemento de escaneo de seguridad, desplácese hacia abajo hasta la Complementos de seguridad sección a continuación para algunas sugerencias.
Nunca descargue temas aleatorios
A menos que sepa lo que está haciendo con el código PHP, es muy fácil caer en la trampa de descargar un hermoso tema aleatorio de en algún lugar, solo para descubrir que tiene un código desagradable allí, generalmente vínculos de retroceso que no puede eliminar, pero peor puede ser encontró. Apéguese a diseñadores temáticos premium y conocidos (como Revista sensacional o WPShower), o para temas gratuitos solo use el directorio de temas de WordPress.
Eliminar complementos y temas no utilizados
Cuanto menos código ejecutable tenga en su servidor, mejor: elimine la posibilidad de tener un código antiguo y vulnerable eliminando temas y complementos que ya no usa. Deshabilitarlos simplemente detendrá la carga de su funcionalidad con WordPress, pero el código en sí puede ser ejecutable por un hacker.
Eliminar Tell-tale Meta en tu encabezado
Por defecto, WordPress difunde su versión al mundo en el código de su archivo de encabezado, una forma fácil para que los hackers identifiquen instalaciones antiguas. Agregue las siguientes líneas a su tema funciones.php para eliminar la versión de WordPress, la información de Windows Live Writer y una línea que ayuda a los clientes remotos a encontrar su archivo XML-RPC.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Eliminar la cuenta "admin"
La mayoría de los ataques de fuerza bruta en WordPress implican probar repetidamente administración cuenta, el valor predeterminado para todas las instalaciones de WordPress, y un diccionario de contraseñas comunes. Si inicias sesión con el administrador o tienes la cuenta de administrador en tu tabla de usuario, eres vulnerable a esto.
Dos formas de solucionarlo: usar plugin wp-optimize - un gran complemento que, entre otras cosas, le permite deshabilitar las revisiones posteriores y realizar la optimización de la base de datos, para cambiar el nombre de la cuenta de administrador. O simplemente cree otra cuenta con privilegios de administrador, inicie sesión como el nuevo usuario, luego elimine la cuenta "admin", asigne todas las publicaciones a su nuevo usuario.
Contraseñas seguras
Incluso si ha deshabilitado la cuenta de administrador, puede ser posible identificar el nombre de usuario de su cuenta de administrador, momento en el cual es vulnerable a un ataque de fuerza bruta nuevamente. Aplique una política de contraseña segura de 16 o más caracteres aleatorios que consisten en mayúsculas y minúsculas, puntuación y números.
O simplemente usa el reallyLongSentenceThatsEasyToRememberMethod.
Deshabilitar la edición de archivos dentro de WordPress
Para aquellos a quienes no les gusta iniciar sesión a través de FTP, WordPress incluye un editor sencillo en el panel de administración para los archivos PHP de tema y plugin, pero eso hace que su instalación sea vulnerable si alguien obtiene acceso. De hecho, así es como alguien logró inyectar una redirección de malware en nuestro encabezado. Agregue la siguiente línea al final de su wp-config.php (en la carpeta raíz) para deshabilitar todas las funciones de edición de archivos, y usar SFTP Qué es SSH y en qué se diferencia de FTP [Tecnología explicada] Lee mas para iniciar sesión en su servidor en su lugar.
define ('DISALLOW_FILE_EDIT', verdadero);
Ocultar errores de inicio de sesión
Una contraseña incorrecta o un nombre de usuario incorrecto se pueden identificar por los errores que se dan al iniciar sesión, que se pueden usar para identificar cuentas por fuerza bruta. Obviamente, esto no es bueno, así que elimine los errores con esta adición a su tema funciones.php archivo
function no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');
Activa Cloudflare
Además de acelerar su sitio, CloudFlare mitiga que muchas botnets y escáneres conocidos lleguen a su blog en primer lugar. Leer todo sobre CloudFlare Proteja y acelere su sitio web de forma gratuita con CloudFlareCloudFlare es una puesta en marcha intrigante de los creadores del Proyecto Honey Pot que dice proteger su sitio web de spammers, bots y otros monstruos web malvados, así como acelerar su sitio algo... Lee mas aquí. La instalación es un clic si está alojado en MediaTemple, de lo contrario, necesitará acceso al panel de control de dominio para cambiar los servidores de nombres.
Complementos de seguridad
- Mejor seguridad de WP implementa muchas de estas soluciones para usted y es la solución gratuita más completa que existe.
- WordFence es un paquete premium que analiza activamente sus archivos en busca de enlaces de malware, redirecciones, vulnerabilidades conocidas, etc., y los repara. El precio comienza en $ 18 / año para 1 sitio.
- Solución de seguridad de inicio de sesión ambos limitan los intentos de inicio de sesión y aplican contraseñas seguras.
- Seguridad a prueba de balas es un complemento completo pero complejo que trata algunos de los aspectos más técnicos, como la inyección de XSS y los problemas de .htaccess. También está disponible una versión Pro del complemento que automatiza gran parte del proceso.
Creo que estará de acuerdo en que esta es una lista bastante completa de pasos para fortalecer WordPress, pero no le sugiero que implemente todas de ellos. Si tuviera que hacer todo esto en cada sitio que configuré, todavía los estaría configurando ahora. Ejecutar cualquier tipo de sistema presenta un riesgo, y en última instancia depende de usted encontrar el equilibrio nivel de seguridad que desea y el esfuerzo que desea poner en asegurarlo: nada va al 100% seguro. Las frutas bajas aquí son:
- Mantener WordPress actualizado
- Deshabilitar la cuenta de administrador
- Agregar autenticación de dos pasos
- Instalar un complemento de seguridad
Hacer eso solo debería ponerlo por encima del 99% de todos los demás blogs, lo que es suficiente para que los posibles piratas informáticos pasen a objetivos más fáciles.
¿Crees que me perdí algo? Dime en los comentarios.
James tiene una licenciatura en Inteligencia Artificial y está certificado por CompTIA A + y Network +. Es el desarrollador principal de MakeUseOf, y pasa su tiempo libre jugando VR paintball y juegos de mesa. Ha estado construyendo computadoras desde que era un niño.